Opções de VM Confidencial do Azure
O Azure oferece opções de TEE (Trusted Execution Environment) da AMD e da Intel. Esses TEEs permitem que você crie ambientes VM confidenciais com excelentes relações preço-desempenho, tudo sem exigir nenhuma alteração de código.
Para VMs confidenciais baseadas em AMD, a tecnologia usada é a AMD SEV-SNP, que foi introduzida com processadores AMD EPYC™ de 3ª geração. Por outro lado, as VMs confidenciais baseadas em Intel utilizam Intel TDX, uma tecnologia introduzida com processadores Intel® Xeon® de 4ª geração. Ambas as tecnologias têm implementações diferentes, no entanto, ambas fornecem proteções semelhantes da pilha de infraestrutura de nuvem.
Tamanhos
Oferecemos os seguintes tamanhos de VM:
| Tamanho Família | TEE | Description |
|---|---|---|
| Série DCasv5 | AMD SEV-SNP | CVM de uso geral com armazenamento remoto. Nenhum disco temporário local. |
| Série DCadsv5 | AMD SEV-SNP | CVM de uso geral com disco temporário local. |
| Série ECasv5 | AMD SEV-SNP | CVM otimizado para memória com armazenamento remoto. Nenhum disco temporário local. |
| Série ECadsv5 | AMD SEV-SNP | CVM otimizado para memória com disco temporário local. |
| Série DCesv5 | Intel TDX | CVM de uso geral com armazenamento remoto. Nenhum disco temporário local. |
| Série DCedsv5 | Intel TDX | CVM de uso geral com disco temporário local. |
| Série ECesv5 | Intel TDX | CVM otimizado para memória com armazenamento remoto. Nenhum disco temporário local. |
| Série ECedsv5 | Intel TDX | CVM otimizado para memória com disco temporário local. |
| Série NCCadsH100v5 | GPUs AMD SEV-SNP e NVIDIA H100 Tensor Core | CVM com GPU Confidencial. |
Nota
As VMs confidenciais otimizadas para memória oferecem o dobro da proporção de memória por contagem de vCPU.
Comandos da CLI do Azure
Você pode usar a CLI do Azure com suas VMs confidenciais.
Para ver uma lista de tamanhos de VM confidenciais, execute o seguinte comando. Substitua <vm-series> pela série que pretende utilizar. A saída mostra informações sobre regiões disponíveis e zonas de disponibilidade.
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
Para obter uma lista mais detalhada, execute o seguinte comando:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
Considerações sobre implementação
Considere as seguintes configurações e opções antes de implantar VMs confidenciais.
Subscrição do Azure
Para implantar uma instância de VM confidencial, considere uma assinatura pré-paga ou outra opção de compra. Se você estiver usando uma conta gratuita do Azure, a cota não permitirá o número apropriado de núcleos de computação do Azure.
Talvez seja necessário aumentar a cota de núcleos em sua assinatura do Azure a partir do valor padrão. Os limites padrão variam dependendo da sua categoria de assinatura. Sua assinatura também pode limitar o número de núcleos que você pode implantar em determinadas famílias de tamanhos de VM, incluindo os tamanhos confidenciais de VM.
Para solicitar um aumento de cota, abra uma solicitação de suporte ao cliente on-line.
Se tiver necessidades de capacidade de grande escala, contacte o Suporte do Azure. As cotas do Azure são limites de crédito, não garantias de capacidade. Você só incorre em cobranças pelos núcleos que usa.
Preços
Para obter opções de preços, consulte os preços das máquinas virtuais Linux.
Disponibilidade regional
Para obter informações sobre disponibilidade, consulte quais produtos de VM estão disponíveis por região do Azure.
Redimensionamento
As VMs confidenciais são executadas em hardware especializado, portanto, você só pode redimensionar instâncias confidenciais de VM para outros tamanhos confidenciais na mesma região. Por exemplo, se você tiver uma VM da série DCasv5, poderá redimensionar para outra instância da série DCasv5 ou uma instância da série DCesv5.
Não é possível redimensionar uma VM não confidencial para uma VM confidencial.
Suporte a SO convidado
As imagens do SO para VMs confidenciais têm de cumprir determinados requisitos de segurança e compatibilidade. As imagens qualificadas suportam montagem segura, atestado, criptografia de disco confidencial opcional do sistema operacional e isolamento da infraestrutura de nuvem subjacente. Estas imagens incluem:
- Ubuntu 20.04 LTS (AMD SEV-SNP suportado apenas)
- Ubuntu 22.04 LTS
- Red Hat Enterprise Linux 9.3 (AMD SEV-SNP suportado apenas)
- Windows Server 2019 Datacenter - x64 Gen 2 (somente suporte para AMD SEV-SNP)
- Windows Server 2019 Datacenter Server Core - x64 Gen 2 (somente suporte para AMD SEV-SNP)
- Windows Server 2022 Datacenter - x64 Gen 2
- Windows Server 2022 Datacenter: Azure Edition Core - x64 Gen 2
- Windows Server 2022 Datacenter: Azure Edition - x64 Gen 2
- Windows Server 2022 Datacenter Server Core - x64 Gen 2
- Windows 11 Enterprise N, versão 22H2 -x64 Gen 2
- Windows 11 Pro, versão 22H2 ZH-CN -x64 Gen 2
- Windows 11 Pro, versão 22H2 -x64 Gen 2
- Windows 11 Pro N, versão 22H2 -x64 Gen 2
- Windows 11 Enterprise, versão 22H2 -x64 Gen 2
- Windows 11 Enterprise multi-sessão, versão 22H2 -x64 Gen 2
À medida que trabalhamos para integrar mais imagens do SO com encriptação confidencial do disco do SO, existem várias imagens disponíveis na pré-visualização que podem ser testadas. Você pode se inscrever abaixo:
- Red Hat Enterprise Linux 9.3 (Suporte para Intel TDX)
- SUSE Enterprise Linux 15 SP5 (Suporte para Intel TDX, AMD SEV-SNP)
- SUSE Enterprise Linux 15 SAP SP5 (Suporte para Intel TDX, AMD SEV-SNP)
Para obter mais informações sobre cenários de VM com e sem suporte, consulte suporte para VMs de geração 2 no Azure.
Recuperação de elevada disponibilidade e após desastre
Você é responsável por criar soluções de alta disponibilidade e recuperação de desastres para suas VMs confidenciais. O planejamento desses cenários ajuda a minimizar e evitar o tempo de inatividade prolongado.
Implantação com modelos ARM
O Azure Resource Manager é o serviço de implementação e gestão do Azure. Pode:
- Proteja e organize seus recursos após a implantação com os recursos de gerenciamento, como controle de acesso, bloqueios e tags.
- Crie, atualize e exclua recursos em sua assinatura do Azure usando a camada de gerenciamento.
- Use modelos do Azure Resource Manager (modelos ARM) para implantar VMs confidenciais em processadores AMD.
Certifique-se de especificar as seguintes propriedades para sua VM na seção de parâmetros (parameters):
- Tamanho da VM (
vmSize). Escolha entre as diferentes famílias e tamanhos de VM confidenciais. - Nome da imagem do SO (
osImageName). Escolha entre as imagens qualificadas do sistema operacional. - Tipo de encriptação de disco (
securityType). Escolha entre criptografia somente VMGS (VMGuestStateOnly) ou pré-criptografia de disco completo do sistema operacional (DiskWithVMGuestState), o que pode resultar em tempos de provisionamento mais longos. Apenas para instâncias Intel TDX, também suportamos outro tipo de segurança (NonPersistedTPM) que não tem VMGS ou criptografia de disco do sistema operacional.
Próximos passos
Para obter mais informações, consulte nossas Perguntas frequentes sobre VM confidenciais.